Mikäli tietonjenkäsittely ja kerätty tieto ovat vaarassa aiheuttaa riskin henkilöiden oikeuksissa ja vapaudessa, yritysten on arvioitava, miten käsittelymalli voidaan suojata ulkopuolisilta uhkilta. Nämä vaikutustenarvioinnit ovat välttämättömiä, mikäli yritys prosessoi (artikla 35):

1. järjestelmällinen ja kattava henkilötietojen automaattinen arviointi;
2. suuren mittakaavan erityiskategorian tietoja tai rikosoikeudellisia tuomioita tai rikoksia;
3. julkisen alueen järjestelmällinen valvonta (esimerkiksi julkisen alueen edessä olevat kamerat)